JWT-decoder - JSON Web Tokens online decoderen en verloop controleren
Plak een willekeurig JSON Web Token om direct de header en payload te decoderen, de handtekening te bekijken en te controleren of het verlopen is. Werkt lokaal — je tokens verlaten je browser nooit.
Decode and verify entirely in your browser — nothing is uploaded.
Klaar met JWT-decoder? Probeer hierna deze
Zorgvuldig gekozen tools die goed samengaan met JWT-decoder. Ga verder zonder je bestand te verliezen.
Base64-encoder/-decoder
Codeer elke tekst of elk bestand naar Base64 (met URL-veilige variant), of decodeer Base64 terug naar tekst. UTF-8-veilig.
Probeer het nuHashgenerator
Bereken SHA-1-, SHA-256-, SHA-384- en SHA-512-hexadigests van willekeurige tekst of bestanden met de Web Crypto API van de browser.
Probeer het nuJSON opmaken
Formatteer, valideer en minify JSON in je browser. Net ingesprongen met 2 / 4 / 8 spaties of minify naar één regel met kopiëren + downloaden.
Probeer het nuURL-encoder / -decoder
Codeer URL-componenten of volledige URL's met procentcodering en decodeer ze weer terug. Modi encodeURIComponent en encodeURI.
Probeer het nuWachtwoordgenerator
Genereer sterke, cryptografisch willekeurige wachtwoorden tot 128 tekens met live entropieschatting.
Probeer het nuDiff Checker
Vergelijk twee tekstfragmenten regel voor regel. Gesplitste of gecombineerde weergave, optioneel witruimte negeren en hoofdletters negeren.
Probeer het nuFrequently Asked Questions
Plak het gecodeerde JWT (de lange eyJ…-tekenreeks) in het invoervak. De tool splitst het op de twee punten, decodeert de header en payload met Base64URL en toont voor beide de JSON plus het ruwe handtekeningsegment — allemaal zonder enige netwerkaanvraag.
usageNee. De decoder parseert alleen het token; hij controleert de handtekening niet tegen een geheime of publieke sleutel, omdat verificatie het sleutelmateriaal van de uitgever vereist. Gebruik voor productieverificatie een server-side JWT-bibliotheek; deze tool is bedoeld voor inspectie en debugging.
technicalJe krijgt de header (algoritme en sleutel-id), de payload-claims (sub, iss, aud, iat, exp en eventuele aangepaste claims) en de ruwe handtekening. Standaard tijdstempelclaims worden opgemaakt als leesbare datums, zodat je verlopen tokens in één oogopslag kunt herkennen.
featuresAls de payload de standaard "exp"-claim bevat, vergelijkt de tool deze met de huidige tijd en toont hij ofwel "Geldig tot" of "Token verlopen op" met het exacte tijdstempel. Tokens zonder exp-claim worden gerapporteerd als zonder vervaldatum.
featuresIedereen die de payload van een JWT kan lezen, kan deze gebruiken totdat hij verloopt. Productietokens horen daarom thuis in privétools. Deze decoder draait volledig in je browser en verstuurt het token nooit, maar de veiligere vuistregel is om waar mogelijk kortlevende ontwikkeltokens te decoderen.
privacyEen JWT bestaat uit drie met Base64URL gecodeerde segmenten, gescheiden door punten: header (ondertekeningsalgoritme), payload (de claims die de uitgever door de verifieerder vertrouwd wil zien) en signature (een MAC of digitale handtekening over header.payload). Decoderen vereist nooit een sleutel — alleen verifiëren wel.
technicalEen compacte, URL-veilige token die bestaat uit drie Base64URL-segmenten — header, payload en handtekening — en ondertekende claims bevat zoals een gebruikers-ID en een vervaltijd. Hij wordt veel gebruikt voor stateless inlogsessies en het beveiligen van API-verzoeken. Plak er hierboven een om de header en payload te bekijken.
technicalOnder de gedecodeerde header en payload plak je het ondertekeningsgeheim (voor HS256) of de publieke sleutel van de uitgever in PEM- of JWK-formaat (voor RS256, ES256 en dergelijke) in het vak Handtekening verifiëren, en klik je vervolgens op Verifiëren. De badge die verschijnt meldt of de handtekening geldig of ongeldig is, of een algoritme gebruikt dat de verifier aan de browserkant niet ondersteunt — allemaal lokaal berekend, zonder het token of de sleutel ergens naartoe te sturen.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsKlik op Voorbeeld-JWT proberen om een demo HS256-token met sub-, name-, iat- en exp-claims te laden, zodat je het decoderen en de vervalcontrole in actie ziet voordat je je eigen token plakt. Zodra er een token in het vak staat, verschijnt er een Wissen-knop ernaast waarmee je de invoer met één klik weer leeg maakt.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
OAuth- en OpenID Connect-flows debuggen
Decodeer access-tokens en ID-tokens die worden geretourneerd door Auth0, Okta, Cognito en Azure AD om scopes, audiences en issuers te verifiëren tijdens lokaal OAuth-integratiewerk
Authorization-headers in API-aanroepen inspecteren
Plak het bearer-token van een mislukte API-aanvraag om te bevestigen of de verkeerde tenant, rol of vervaldatum de oorzaak is voordat je een ticket aanmaakt bij het backendteam
Controleer de vervaltijd van tokens tijdens de ontwikkeling
Spoor verlopen tokens op die je staging-omgeving stilletjes om zeep helpen door de exp-claim uit te lezen — je hoeft de token niet naar een terminal te kopiëren of snel een script te schrijven
Controleer rechten die in token-claims zijn gecodeerd
Verifieer aangepaste claims zoals rollen, tenants en feature flags, zodat beheerders kunnen bevestigen dat het token van een klant precies de toegang verleent die het licentieteam beoogt
Single sign-on-integraties valideren
Inspecteer SAML- en OIDC-tokens die door SSO-integraties op ondernemingsniveau worden gegenereerd om groepslidmaatschappen en attribuuttoewijzingen te controleren voordat je uitrolt naar alle medewerkers
Token-gebaseerde authenticatie onderwijzen
Gebruik de gedecodeerde header-, payload- en signaturepanelen om aan bootcampstudenten, junior engineers en deelnemers aan securityworkshops uit te leggen hoe JWT's zijn opgebouwd
Controleer de Webhook-Ondertekeningsinstelling van een Partner
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate